Después de crear un cliente, configure las opciones de funciones y los ajustes a los que puede acceder el cliente. Como superusuario de socio, puede elegir qué ajustes tiene capacidad de modificar el cliente de socio.
Al crear un nuevo cliente, se le redirige a la página Configuración del cliente (Customer Configuration), donde puede configurar los ajustes del cliente. También puede desplazarse hasta la página Configuración (Configuration) siguiendo los pasos a continuación:
Procedimiento
- Inicie sesión en SASE Orchestrator como socio.
- En el portal de socios, seleccione un cliente de socio y, en el encabezado superior, haga clic en SD-WAN > Configuración global (Global Settings).
- En el menú de la izquierda, haga clic en Configuración del cliente (Customer Configuration). Se muestra la página siguiente:
La sección Configuración del servicio (Service Configuration) incluye los siguientes servicios:
- SD-WAN
- Edge Intelligence
- Cloud Web Security
- Secure Access
- Hub de nube (Cloud Hub)
Haga clic en el botón Activar (Turn on) para activar cada servicio. Haga clic en los puntos suspensivos verticales presentes en la esquina superior derecha de cada mosaico para desactivar o configurar el servicio. También puede utilizar la opción Configurar (Configure) que se encuentra en la esquina inferior derecha de cada mosaico para configurar el servicio correspondiente. Cada mosaico muestra el resumen de configuración.
Nota: Al seleccionar la opción Desactivar (Turn off), aparece una ventana emergente que solicita su confirmación. Seleccione la casilla de verificación y haga clic en Desactivar servicio (Turn Off Service).- SD-WAN: al hacer clic en la opción Configurar, se muestra la siguiente ventana emergente. Configure los ajustes y haga clic en Actualizar (Update).
Opción Descripción Dominio (Domain) Introduzca el nombre de dominio que se utilizará para activar la autenticación de inicio de sesión único (SSO) para Orchestrator. Esto también es necesario para activar Edge Intelligence para el cliente. Autenticación de Edge predeterminada (Default Edge Authentication) Elija la opción predeterminada para autenticar las instancias de Edge asociadas al cliente, en el menú desplegable.
- Certificado desactivado (Certificate Deactivated): la instancia de Edge utiliza un modo de autenticación con una clave previamente compartida.
- Adquirir certificado (Certificate Acquire): esta opción está seleccionada de forma predeterminada y le indica a la instancia de Edge que adquiera un certificado de la entidad de certificación de SASE Orchestrator; para ello debe generar un par de claves y enviar una solicitud de firma del certificado a Orchestrator. Una vez adquirido el certificado, la instancia de Edge lo utiliza para autenticarse en SASE Orchestrator y para establecer túneles VCMP.
Nota: Después de adquirir el certificado, la opción se puede actualizar a Certificado requerido (Certificate Required).
- Certificado requerido (Certificate Required): Edge utiliza el certificado de PKI. Puede cambiar la ventana de tiempo de renovación de certificados para instancias de Edge mediante la propiedad del sistema
edge.certificate.renewal.window
.
Licencias de Edge (Edge Licensing) Se muestran las licencias de Edge existentes. Haga clic en Agregar (Add) para agregar o eliminar las licencias. Nota: Los tipos de licencia se pueden utilizar en varias instancias de Edge. Se recomienda proporcionar a los clientes acceso a todos los tipos de licencias para que coincidan con la versión y la región. Para obtener más información, consulte Licencias de Edge.Permitir que el cliente administre software (Allow Customer to Manage Software) Seleccione la casilla de verificación si desea permitir que un superusuario empresarial administre las imágenes de software disponibles para la empresa. Para obtener más información, consulte el tema Administración de imágenes de Edge en la Guía de administración de VMware SD-WAN. Perfil de operador (Operator Profile) Seleccione un perfil de operador para asociarlo con el cliente en el menú desplegable. Este campo no está disponible si Permitir que el cliente administre software (Allow Customer to Manage Software) está seleccionado. Para obtener más información sobre los perfiles de operador, consulte la sección "Administrar perfiles de operador" en la Guía del operador de VMware SD-WAN disponible en la Documentación de VMware SD-WAN. Cantidad máxima de segmentos (Maximum Number of Segments) Introduzca el número máximo de segmentos que se pueden configurar. El rango es de 1 a 16 y el valor predeterminado es 16. - Edge Intelligence: al hacer clic en la opción Configurar (Configure) se abre la siguiente ventana emergente. Configure los ajustes y haga clic en Actualizar (Update).
Nota: Puede seleccionar esta opción solo cuando el servicio de SD-WAN está activado.
Opción Descripción Dominio (Domain) Introduzca el nombre de dominio que se utilizará para activar la autenticación de inicio de sesión único (SSO) para Orchestrator. Esto también es necesario para activar Edge Intelligence para el cliente. Nodos de análisis (Analytics Nodes) Introduzca el número máximo de instancias de Edge que se pueden aprovisionar como nodos de análisis. De forma predeterminada, se selecciona la opción Sin límite (Unlimited). Acceso a la función (Feature Access) Seleccione la casilla de verificación Corrección automática (Self Healing) para permitir que Edge Intelligence proporcione recomendaciones para mejorar el rendimiento. - Cloud Web Security: este servicio solo está disponible cuando se selecciona un Grupo de puertas de enlace (Gateway Pool) con una función de Cloud Web Security activada. Cloud Web Security es un servicio alojado en la nube que protege a los usuarios y a la infraestructura cuando acceden a aplicaciones de Internet y SaaS. Para obtener más información, consulte la Guía de configuración de VMware Cloud Web Security. Al hacer clic en la opción Configurar (Configure), se muestra la siguiente ventana emergente:
Seleccione la edición requerida y haga clic en Actualizar (Update). Standard Edition incluye filtrado de URL, inspección de SSL, antivirus, autenticación, espacio aislado básico, visibilidad de CASB en línea. Advanced Edition incluye filtrado de URL, inspección de SSL, antivirus, autenticación, espacio aislado básico, controles y visibilidad de CASB en línea, controles y visibilidad de DLP en línea.
- Secure Access: este servicio solo está disponible cuando se selecciona un Grupo de puertas de enlace (Gateway Pool) con una función de Cloud Web Security activada. La solución Secure Access combina los servicios de VMware SD-WAN y Workspace ONE para proporcionar un acceso coherente, óptimo y seguro a las aplicaciones en la nube a través de una red de nodos de servicios administrados a nivel mundial. Para obtener más información, consulte la Guía de configuración de VMware Secure Access. Al hacer clic en la opción Configurar (Configure), se muestra la siguiente ventana emergente:
Introduzca el número máximo de PoP y haga clic en Actualizar (Update).
- A continuación se muestran las opciones de configuración adicionales disponibles en la página Configuración del cliente (Customer Configuration):
Opción Descripción Global Visualización del acuerdo del usuario (User Agreement Display) Seleccione una de las siguientes opciones en el menú desplegable: - Heredar (Inherit)
- Anular para ocultar (Override to Hide)
- Anular para mostrar (Override to Show)
Nota:Este campo solo está disponible cuando la propiedad del sistemasession.options.enableUserAgreements
se establece en Verdadera (True).Acceso a la función (Feature Access) Proporciona acceso a las funciones seleccionadas. Seleccione una o varias casillas de verificación de la siguiente lista a fin de activar estas funciones para el cliente de socio: - Autenticación empresarial (Enterprise Auth): de forma predeterminada, solo el operador puede activar o desactivar la autenticación en dos fases para una empresa. Si selecciona esta casilla de verificación, los administradores empresariales pueden configurar la autenticación en dos fases por su cuenta.
- Habilitar servicio Premium (Enable Premium Service): proporciona acceso a los servicios premium disponibles. Esta opción está seleccionada de forma predeterminada.
- Personalización de funciones (Role Customization): permite a un superusuario empresarial personalizar los privilegios de función de otros usuarios empresariales.
- Seguimiento inverso de rutas (Route Backtracking): permite al dispositivo elegir la mejor ruta en el orden de longitud del prefijo.
- Panel de ayuda contextual en el producto (In-product Contextual Help Panel): proporciona acceso al panel de ayuda integrado en Orchestrator. Esta función está desactivada de forma predeterminada. Un administrador asociado debe activar esta opción para los clientes de socio.
- Habilitar el registro de firewall en Orchestrator (Enable Firewall Logging to Orchestrator): de forma predeterminada, las instancias de Edge no pueden enviar sus registros de firewall a Orchestrator. Seleccione esta casilla de verificación para permitir que una instancia de Edge envíe los registros de firewall a Orchestrator.
- Calidad de la experiencia personalizable (Customizable QoE): permite al cliente configurar los valores de umbral de latencia mínimo y máximo para las categorías de aplicaciones de voz, video y transaccional de una instancia de Edge.
- Habilitar la interfaz de usuario clásica de Orchestrator (Enable Classic Orchestrator UI): permite al cliente cambiar de la interfaz de usuario Angular de Orchestrator a la interfaz de usuario clásica de Orchestrator. Esta opción solo está disponible cuando la propiedad del sistema
session.options.enableClassicOrchestrator
se establece en Verdadera (True).
Delegar la administración al cliente (Delegate Management To Customer) Permite al cliente de socio modificar la configuración de la propiedad seleccionada. Las siguientes dos propiedades siempre están visibles para los clientes de socio: - Habilitar asignación de CoS (Enable CoS Mapping): permite configurar la asignación de clase de servicio al configurar una directiva empresarial.
- Habilitar la limitación de velocidad de servicio (Enable Service Rate Limiting): permite limitar la velocidad de los servicios en una directiva empresarial.
Grupo de puertas de enlace (Gateway Pool) Grupo de puertas de enlace actual (Current Gateway Pool) Seleccione el grupo de puertas de enlace en el menú desplegable. Puertas de enlace en este grupo (Gateways in this Pool) Muestra los detalles de la puerta de enlace en el grupo actual. Entrega a socio (Partner Hand Off) Al activar esta opción, se muestra la sección Configurar entrega (Configure Hand Off). Para ver detalles, consulte Configurar la entrega de socio. Directiva de seguridad (Security Policy) Hash De forma predeterminada, no hay ningún algoritmo de autenticación configurado para el encabezado de VPN, ya que AES-GCM es un algoritmo de cifrado autenticado. Al seleccionar la casilla de verificación Desactivar GCM (Turn off GCM), puede seleccionar una de las siguientes opciones como algoritmo de autenticación para el encabezado de VPN, en la lista desplegable: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Cifrado (Encryption) Seleccione AES 128 o AES 256 como el tamaño de la clave del algoritmo para cifrar los datos. El modo de algoritmo de cifrado predeterminado es AES 128. Grupo DH (DH Group) Seleccione el algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. Los grupos de DH compatibles son 2, 5, 14, 15, 16, 19, 20 y 21. Nota:- Los grupos de DH 19, 20 y 21 están disponibles a partir de la versión 5.2.0.
- Se recomienda utilizar el Grupo DH (DH Group) 14, que es el valor predeterminado.
PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2, 5, 14, 15 y 16. De forma predeterminada, PFS está desactivado. Desactivar GCM (Turn off GCM) Seleccione esta casilla de verificación para activar Hash y seleccione un algoritmo de autenticación para el encabezado de VPN. Duración de SA de IPsec (min) (IPSec SA Lifetime Time(min)) Tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPSec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y la duración máxima de IPsec, de 480 minutos. El valor predeterminado es 480 minutos. Nota: No se recomienda configurar un valor de duración bajo para IPsec (menos de 10 minutos), ya que se puede interrumpir el tráfico en algunas implementaciones debido a la regeneración de claves. Los valores de duración bajos son solo para fines de depuración.Duración de SA de IKE (IKE SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de Edge. La duración mínima de IKE es de 10 minutos y la duración máxima de IKE, de 1440 minutos. El valor predeterminado es 1440 minutos. Nota: No se recomienda configurar valores de duración bajos para IKE (menos de 30 minutos), ya que se puede interrumpir el tráfico en algunas implementaciones debido a la regeneración de claves. Los valores de duración bajos son solo para fines de depuración.Reemplazo de ruta predeterminada segura (Secure Default Route Override) Seleccione la casilla de verificación para que el destino del tráfico que coincide con una ruta predeterminada segura (ya sea ruta estática o ruta BGP) de una puerta de enlace de socio se pueda anular mediante Directiva empresarial (Business Policy). Nota: Para obtener instrucciones acerca de cómo activar el enrutamiento seguro en Edge, consulte Configurar la entrega de socio. Para obtener más información acerca de la configuración de una regla de directiva empresarial del servicio de red, consulte "Configurar el servicio de red para la regla de directiva empresarial" en la Guía de administración de VMware SD-WAN disponible en la Documentación de VMware SD-WAN.Virtualización de funciones de red de Edge NFV de Edge (Edge NFV) Seleccione esta opción para activar la capacidad de implementar VNF en las instancias de Edge. Después de implementar una o varias VNF en las instancias de Edge, no se puede desactivar esta opción. Instancias de VNF de seguridad (Security VNFs) Seleccione las casillas de verificación correspondientes para implementar las instancias de VNF de seguridad correspondientes en las instancias de Edge. Configuración de SD-WAN Cálculo de costes de OFC (OFC Cost Calculation) Seleccione la casilla de verificación requerida: - Cálculo de costes distribuidos (Distributed Cost Calculation): seleccione esta casilla de verificación para delegar el cálculo de costes de ruta a instancias de Edge/Gateway.
Nota: Esta opción solo está disponible para las instancias de Edge o Gateway con la versión 3.4.0 y posteriores.
- Usar directiva de NSD (Use NSD Policy): seleccione esta casilla de verificación para utilizar la directiva de NSD para enrutar el cálculo de costes a las instancias de Edge o Gateway.
Nota: Esta opción solo está disponible para las instancias de Edge o Gateway con la versión 4.2.0 y posteriores.
Cálculo de ruta con varias etiquetas DSCP por flujo Seleccione la casilla de verificación para incluir el valor DSCP como parte de la búsqueda de flujos. Nota: Este campo solo está disponible cuando la propiedad del sistemasession.options.enableFlowParametersConfig
se establece en Verdadera (True).Acceso a la función Seleccione la casilla de verificación Firewall con estado (Stateful Firewall) o Protección de amenazas avanzada (Advanced Threat Protection) para anular la configuración correspondiente activada en la instancia de Edge empresarial. - Haga clic en Guardar cambios (Save Changes).
Nota: Cuando se modifican los ajustes de la Directiva de seguridad (Security Policy), los cambios pueden causar interrupciones en los servicios actuales. Además, estos ajustes pueden reducir el rendimiento general y aumentar el tiempo necesario para configurar el túnel VCMP. Esto puede afectar los tiempos de configuración del túnel dinámico de sucursal a sucursal y la recuperación de un error de Edge en un clúster.